Elastic für Sicherheitsanalysten. Teil 1: Strings durchsuchen.

GESCHRIEBEN VON

Adam Swan

Leiter für Bedrohungsjagd-Engineering

[post-views]

März 02, 2020 · 10 min zu lesen

Elastic für Sicherheitsanalysten. Teil 1: Strings durchsuchen.

Zweck:

Da Elastic seinen Einfluss im Bereich der Cybersicherheit durch die Geschwindigkeit und Skalierbarkeit ihrer Lösung ausbaut, erwarten wir mehr neue Elastic-Nutzer. Diese Nutzer werden sich Elastic mit einer Intuition nähern, die aus Erfahrungen mit anderen Plattformen und SIEMs entstanden ist. Oft wird diese Intuition nach einigen Suchen in Elastic direkt herausgefordert. Der Zweck dieser Serie ist es, Sicherheitsanalysten mit der Einzigartigkeit von Elastic vertraut zu machen. Dieser Beitrag bietet den Lesern eine Anleitung zum Erstellen geeigneter Suchen gegen Stringdaten in Elastic.Missverständnisse darüber, wie die analysierten Text und nicht analysierten Schlüsselwörter Datentypen die Suche nach stringbasierten Daten beeinflussen, führen zu irreführenden Ergebnissen. Wenn Sie diesen Beitrag lesen, sind Sie besser darauf vorbereitet, Suchen gegen Strings durchzuführen, die Ihren Analyseabsichten entsprechen.

Gliederung:

Bevor wir loslegen
Welchen Datentyp verwenden Sie?
Zusammenfassung der Unterschiede
Unterschied 1: Tokenisierung & Begriffe
Unterschied 2: Groß- und Kleinschreibung
Unterschied 3: Symbolübereinstimmung

Bevor Wir Loslegen:

Lucene

Dieser Blogbeitrag verwendet Lucene. KQL unterstützt noch keine regulären Ausdrücke, und wir benötigen diese.

Begriffe: Datentypen, Zuordnungen und Analysatoren:

Bei der Diskussion, wie Daten in Elasticsearch-Indizes gespeichert werden, muss man die Begriffe Zuordnungen, Datentypen und Analysatoren kennen.

Datentyp – Der „Typ“, „der Datentyp“ oder „Datentyp“, als der ein Wert gespeichert/indexiert wird. Beispiele für Datentypen sind: String, Boolean, Integer und IP. Strings werden gespeichert/indexiert als „Text“ oder „Schlüsselwörter“ Datentyp.
Zuordnung – Dies ist die Einstellung, die jedem Feld einen Datentyp zuweist (zuordnet). Zugänglich über die get mapping API. Wenn Sie die Zuordnung abrufen, wird Ihnen das Feld zurückgegeben, dem der Datentyp zugeordnet ist.
Analysator – Bevor String-Daten gespeichert/indexiert werden, wird der Wert vorverarbeitet, um Speicherung und Suche zu optimieren. Analysatoren helfen, das Suchen gegen Strings schnell zu machen.

Wie Strings Gespeichert Werden:

Es gibt zwei primäre Datentypen für Strings: Schlüsselwörter and Text.

Schlüsselwörter – Strings des Typs Schlüsselwörter werden als ihr Rohwert gespeichert. Kein Analysator wird angewendet.
Text – Strings des Typs Text werden analysiert. Der Standard- und häufigste Analysator ist der Standard (Text) Analysator. In diesem Beitrag bezieht sich der Begriff „Text“ auf den Text Datentyp mit dem Standardanalysator. Es gibt andere Analysatoren und benutzerdefinierte Analysatoren sind möglich.

Welchen Datentyp verwenden Sie?

Es ist sehr wahrscheinlich, dass Ihre Elastic-Instanz beide Text and Schlüsselwörter Datentypen für Strings verwendet. Das Elastic Common Schema (ECS) und Winlogbeat verwenden hauptsächlich den Schlüsselwörter Datentyp.

Selbst wenn Sie ECS verwenden, können Administratoren Zuordnungen anpassen! Um sicher zu wissen, wie ein Feld zugeordnet ist, sollten Sie Ihre Elastic-Instanz abfragen. Dafür können Sie die get field mapping API oder die get mapping API verwenden. Es ist eine gute Praxis, sich über die neuesten Zuordnungen für Felder auf dem Laufenden zu halten, die Sie regelmäßig durchsuchen oder gegen die Sie Inhalte erstellt haben. Zuordnungen können sich ändern, während Feldnamen gleich bleiben können. Das heutige Schlüsselwörter Feld könnte morgen ein Text Feld sein.

Die bemerkenswerten Unterschiede zwischen Schlüsselwörter and Text sind im folgenden Abschnitt detailliert dargestellt. Zusätzlich wird jeder Unterschied, der sich auf die Suchergebnisse auswirkt, in einem eigenen Abschnitt betrachtet.

Zusammenfassung der Unterschiede

Wir erwarten nicht, dass Sie diesen Abschnitt lesen und sofort verstehen, warum die Typen sich so verhalten, wie sie es tun. Jeder der Unterschiede wird in einem eigenen Abschnitt vertieft. Jeder der Beispiele in den Tabellen ist ebenfalls in einer Tabelle innerhalb des Abschnitts platziert, der das Verhalten erklärt.

Unterschiede

Die folgende Tabelle bietet einen kurzen Überblick über die Hauptunterschiede in den Datentypen.

Unterschied	Standard (Text)	Schlüsselwörter
Tokenisiert	In Begriffe unterteilt (tokenisiert), Originalwert verloren, aber schneller	Nicht tokenisiert, Originalwert erhalten
Groß- und Kleinschreibung	Nicht case-sensitiv, case-sensitive Abfragen sind nicht möglich	Case-sensitiv, case-insensitive Abfragen über Regex möglich
Symbole	Im Allgemeinen werden nicht alphanumerische Zeichen nicht gespeichert. Aber, behält nicht alphanumerische Zeichen in bestimmten Kontexten bei	Behält nicht alphanumerische Zeichen bei / Behält Symbole bei

Unterschiede im Verhalten

Die folgende Tabelle bietet realistische Beispiele dafür, wie Typen das Suchverhalten beeinflussen.

Beispielwert	Abfrage	Texttreffer	Schlüsselworttreffer
Powershell.exe –encoded TvqQAAMA	process.args:encoded	Yes	No
Powershell.exe –encoded TvqQAAMA	process.args:/.[Ee][Nn][Cc][Oo][Dd][Ee][Dd]./	Yes	Yes
Powershell.exe –encoded TvqQAAMA	process.args:Powershell.exeTvq*	No	Yes
TVqQAAMA	process.args:TVqQAAMA	Yes	Yes
TVqQAAMA	process.args:tvqqaama	Yes	No
cmd.exe	process.name:cmd.exe	Yes	Yes
CmD.ExE	process.name:cmd.exe	Yes	No
CmD.ExE	process.name:/[Cc][Mm][Dd].[Ee][Xx][Ee]/	Yes	Yes
\$	process.args:\\$*	No	Yes
\C$WindowsSystem32	process.args:C$\	Yes	Yes

_

Unterschied 1: Analysator, Tokenisierung & Begriffe

Unterschied

Unterschied	Text (Standardanalysator)	Schlüsselwörter
Tokenisiert	In Begriffe unterteilt (tokenisiert)	Nicht analysiert, nicht tokenisiert. Originalwert erhalten.

Warum…?

The Text Der Datentyp / Standardanalysator verwendet Tokenisierung, die einen String in Stücke (Tokens) aufteilt. Diese Tokens basieren auf Wortgrenzen (z.B.: ein Leerzeichen), Interpunktion und mehr.

Als Beispiel, wenn wir den folgenden String mit dem Standardanalysator tokenisieren:„searching for things with Elastic is straightforward“Die resultierenden Begriffe wären:„searching“ | „for“ | „thing“ | „with“ | „elastic“ | „is“ | „straightforward“Beachten Sie, dass alles auf Leerzeichen (Wortgrenzen) tokenisiert wurde, jetzt klein geschrieben ist und das „s“ von „things“ entfernt wurde.

Tokenisierung ermöglicht das Matching auf einzelne Begriffe ohne „contains“ oder Wildcards. Wenn wir zum Beispiel eine Suche nach „Elastic“ the Text Datentyp-String, der “searching for things with Elastic is straightforward” würde übereinstimmen. Dies unterscheidet sich von anderen SIEMs, die stark auf Wildcards oder ‚contains‘-Logik angewiesen sind.

Allerdings bricht die Tokenisierung bei Wildcards zwischen Begriffen ab. Zum Beispiel, „*searching*Elastic*“ würde nicht mit dem Standard-analysierten String „searching with Elastic is straightforward“ übereinstimmen.Hinweis: Sie können dies mit Nähe beheben, aber die Reihenfolge wird nicht beibehalten. Zum Beispiel, “searching Elastic“~1 würde mit „searching with Elastic“ und „Elastic with searching“ übereinstimmen.

Oftmals benötigen wir in der Sicherheit genaue Übereinstimmungen und die Möglichkeit, Wildcards zwischen Begriffen zu verwenden. Dies ist ein Grund, warum der Schlüsselwörter Datentyp zum De-facto-Datentyp in ECS geworden ist. Was Sie an Geschwindigkeit verlieren, gewinnen Sie an präziseren Suchmöglichkeiten.

Beispiele

Beispielwert	Abfrage	Texttreffer	Schlüsselworttreffer
Powershell.exe –encoded	process.args:”Powershell.exe –encoded”	Yes	Yes
Powershell.exe –encoded TvqQAAMA	process.args:/.[Ee][Nn][Cc][Oo][Dd][Ee][Dd]./	Yes	Yes
Powershell.exe –encoded TvqQAAMA	process.args:encoded	Yes	No
Powershell.exe –encoded TvqQAAMA	process.args:Powershell.exeencoded*	No	Yes

_

Unterschied 2: Groß- und Kleinschreibung

Unterschied

Unterschied	Text (Standardanalysator)	Schlüsselwörter
Groß- und Kleinschreibung	Wird vollständig in Kleinbuchstaben gespeichert und ist daher case-insensitive. Case-sensitive Abfragen sind nicht möglich.	Case-sensitiv. Case-insensitive Abfragen mit regulären Ausdrücken möglich.

Warum…?

Probleme mit der Groß- und Kleinschreibung sind eine der Hauptursachen für Verwirrung im Verhalten von Elastic als Sicherheitsanalyst. Dies gilt insbesondere für den Schlüsselwörter Datentyp (Hallo ECS-Community). Ein einziges Zeichen mit falscher Groß- und Kleinschreibung in einem Log kann eine falsch erstellte Abfrage gegen die Schlüsselwörter Felder umgehen. Wenn ein Angreifer Teile von Daten kontrolliert, die in Schlüsselwörter (denken Sie an Windows 4688 & 4104 Ereignisse) gelangen, sollten Sie reguläre Ausdrücke verwenden, um eine Groß- und Kleinschreibungsunempfindlichkeit sicherzustellen!Darüber hinaus warnt Elastic Sie nicht, wenn ein Dokument knapp übersehen wurde, weil ein Zeichen mit falscher Groß- und Kleinschreibung verwendet wurde. Daher ist das Fehlen von Ergebnissen oder das Erhalten von mehr Ergebnissen als beabsichtigt eine Hauptursache für Verwirrung als Sicherheitsanalyst.

Hier ist ein einfaches Beispiel für eine Übereinstimmung gegen „PoWeRsHeLl“. Beachten Sie, dass es nur eines einzigen Zeichens mit falscher Groß- und Kleinschreibung bedarf, um zu verhindern, dass die Abfrage übereinstimmt.

Beispielwert	Abfrage	Texttreffer	Schlüsselworttreffer
PoWeRsHeLl	process.args:PoWeRsHell	Yes	No
PoWeRsHeLl	process.args:PoWeRsHeLl	yes	yes
PoWeRsHeLl	process.args:/[Pp][Oo][Ww][Ee][Rr][Ss][Hh][Ee][Ll][Ll]/	yes	Ja (stimmt mit allen Fällen überein)

Für ein reales Kibana-Beispiel. In dem Bild unten wird im Feld „process.args“ des Typs nach der Zeichenfolge „windows“ abgefragt. Für einen ahnungslosen Analysten mag dies ausreichend erscheinen… 42 Ergebnisse wurden zurückgegeben. Wenn sie jedoch hofften, Dokumente zu erhalten, die „windows“ enthalten, wären sie falsch. Da die Suche case-sensitiv ist, wird „Windows“ nicht übereinstimmen. Schlüsselwörter type field “process.args” is queried for the string “windows”. To an unsuspecting analyst this may seem good enough… 42 results were returned. Well if they were hoping to obtain any document containing “windows” they would be wrong. As the search is case sensitive, therefore “Windows” would not match.

Begrenzte Ergebnisse aus case-sensitiver Suche

In der Abfrage unten, die einen regulären Ausdruck verwendet, um nach „windows“ zu suchen, werden entsprechend 567 Ergebnisse zurückgegeben, die zuvor „fehlten“!

Maximale Ergebnisse

Hoffentlich ist nun klar, dass wenn wir mit dem Schlüsselwörter Typ suchen und keinen regulären Ausdruck verwenden, wir Varianten von „powershell“ verpassen werden, die über eine genaue Übereinstimmung hinausgehen. Es wird davon abgeraten, KQL (das kein Regex unterstützt) zu verwenden, um gegen vom Angreifer kontrollierte Daten zu matchen.Hinweis: Es gibt Anwendungsfälle, bei denen eine Groß- und Kleinschreibung in Schlüsselfeldern wie bei base64 gewünscht ist.Sie können jede Abfrage über Regex-Zeichensatzblöcke case-insensitive machen. Hier sind Beispiele:

encoded	/[Ee][Nn][Cc][Oo][Dd][Ee][Dd]/
cmd.exe	/[Cc][Mm][Dd].[Ee][Xx][Ee]/
C:windowssystem32*	/[Cc]:\[Ww][Ii][Nn][Dd][Oo][Ww][Ss]\[Ss][Yy][Ss][Tt][Ee][Mm]32\.*/

Beispiele

Beispielwert	Abfrage	Texttreffer	Schlüsselworttreffer
TVqQAAMA	process.args::TVqQAAMA	Yes	Yes
TVqQAAMA	process.args: tvqqaama	Yes	No
cmd.exe	process.name:cmd.exe	Yes	Yes
CmD.ExE	process.name:cmd.exe	Yes	No
CmD.ExE	process.name:/[Cc][Mm][Dd].[Ee][Xx][Ee]/	Yes	Yes

_

Unterschied 3: Symbolübereinstimmung

Unterschied

Unterschied	Text (Standardanalysator)	Schlüsselwörter
Symbole	Im Allgemeinen werden nicht alphanumerische Zeichen nicht gespeichert. Aber, behält nicht alphanumerische Zeichen in bestimmten Kontexten bei	Behält nicht alphanumerische Zeichen bei / Behält Symbole bei

Warum?

Alle Symbole werden vom Schlüsselwörter Typ beibehalten, da das gesamte Feld genau so beibehalten wird, wie die Daten eingegeben werden (siehe Hinweis). Für den Standardanalysator gilt jedoch die allgemeine Regel, dass Symbole nicht beibehalten werden. Dies liegt daran, dass der Analysator für das Matching ganzer Wörter gemacht wurde und Symbole keine Wörter sind. Anders ausgedrückt, Symbole werden im Standardanalysator größtenteils nicht gespeichert. Also, Wenn Sie auf Symbole abzielen, verwenden Sie am besten den Schlüsselwörter Datentyp. Wenn Sie jedoch nur ein Textfeld haben und eine Gruppe von Symbolen übereinstimmen müssen, haben Sie Pech. Es gibt jedoch Kontexte, in denen Symbole im Standardanalysator beibehalten werden. Zum Beispiel werden Punkte in Begriffen wie „cmd.exe“ beibehalten. Die Autor:innen haben festgestellt, dass der einfachste Weg zu verstehen, wann Symbole im Standardanalysator beibehalten werden, darin besteht, einfach Testdaten in der Analyze-API auszuführen.

Beispiele

Beispielwert	Abfrage	Texttreffer	Schlüsselworttreffer
\$	process.args:\\$*	No	Yes
\C$WindowsSystem32	process.args:C$\	Yes	Yes
cmd.exe	process.name:cmd.exe	Yes	Yes

_

Fazit

Elastic ist ein leistungsstarkes Werkzeug. Es kann jedoch auch irreführend sein. Hoffentlich haben wir Ihnen ein wenig mehr Wissen und die Fähigkeit gegeben, sicher gegen stringbasierte Daten zu suchen.

Wenn Sie das Gefühl haben, dass Sie Hilfe beim Schreiben von Inhalten für Elastic benötigen, ist die Threat Detection Marketplace von SOC Prime voller Erkennungsinhalte, die mit unserer vorgeschlagenen Elastic-Konfiguration funktionieren.

Zukünftige Beiträge

Bleiben Sie dran für weitere Blogbeiträge, die die Grundlagen und nicht-so-hoch gestochenen Grundlagen der Nutzung von Elastic als Sicherheitsanalyst erkunden.

Zusätzliche Ressourcen für die Suche:

Diese Serie konzentriert sich auf die allgemeinen Schmerzpunkte für Analysten und vertieft sich nicht in das Thema der Syntax. Elastic bietet ausführliche Dokumentation zu ihrer Lucene-Syntax. Es gibt auch mehrere qualitativ hochwertige Community-Cheat-Sheets: insbesondere McAndres and Florian Roth und Thomas Patzke’s.

Meta:

Veröffentlicht – März 2020

Letzte Aktualisierung – 12. März

Autoren – Adam Swan (@acalarch) mit Hilfe von Nate Guagenti (@neu5ron)

Verwendete Elastic-Version: 7.5.2

Verwendete Logs in den Beispielen: https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten Ein Treffen buchen

Name	Descripiton
PHPSESSID	Preserves user session state across page requests. Cookie generated by applications based on the PHP language. This is a general purpose identifier used to maintain user session variables. It is normally a random generated number, how it is used can be specific to the site, but a good example is maintaining a logged-in status for a user between pages.
sp_i	Used to store information about authenticated User.
sp_r	Used to store information about authenticated User.
sp_a	Used to store information about authenticated User.

Name	Descripiton
tuuid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
tuuid_last_update	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
um	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
umeh	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
na_sc_x	Used by the social sharing platform AddThis to keep a record of parts of the site that has been visited in order to recommend other parts of the site.
APID	Collects anonymous data related to the user's visits to the website.
IDSYNC	Collects anonymous data related to the user's visits to the website.
_cc_aud	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_cc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_dc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_id	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
dpm	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
acs	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
clid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
KRTBCOOKIE_#	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PUBMDCID	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PugT	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
ssi	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.
_tmid	Registers a unique ID that identifies the user's device upon return visits. The ID is used to target ads in video clips.
wam-sync	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
wui	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
AFFICHE_W	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
B	Collects anonymous data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The registered data is used to categorise the users' interest and demographical profiles with the purpose of customising the website content depending on the visitor.
1P_JAR	These cookies are used to gather website statistics, and track conversion rates.
APISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
HSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
NID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SAPISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SIDCC	Security cookie to protect users data from unauthorised access.
SSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
__utmx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.
__utmxx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.

Name	Descripiton
_hjid	Hotjar cookie. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample	This cookie is associated with web analytics functionality and services from Hot Jar, a Malta based company. It uniquely identifies a visitor during a single browser session and indicates they are included in an audience sample.
intercom-id-[xxx]	This cookie is used by Intercom as a session so that users can continue a chat as they move through the site.
intercom-session-[xxx]	Used to keeping track of sessions and remember logins and conversations.
demdex	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
CookieConsent	Stores the user's cookie consent state for the current domain.
__cfduid	Used by the content network, Cloudflare, to identify trusted web traffic.
ss	These cookies enable the website to provide enhanced functionality and personalisation . They may be set by us or by third party providers whose services we have added to our pages. These services may include the Live Chat facility, Contact Us form(s), the Product Quotation forms and submission process, and the Email Newsletter sign up functionality .

Name	Descripiton
_ga	This cookie name is asssociated with Google Universal Analytics - which is a significant update to Google's more commonly used analytics service. This cookie is used to distinguish unique users by assigning a randomly generated number as a client identifier. It is included in each page. Registers a unique ID that is used to generate statistical data on how the visitor uses the website. request in a site and used to calculate visitor, session and campaign data for the sites analytics reports. By default it is set to expire after 2 years, although this is customisable by website owners.
_gat	Used by Google Analytics to throttle request rate. This cookie name is associated with Google Universal Analytics, according to documentation it is used to throttle the request rate - limiting the collection of data on high traffic sites. It expires after 10 minutes.
_gid	This cookie name is asssociated with Google Universal Analytics. This appears to be a new cookie and as of Spring 2017 no information is available from Google. It appears to store and update a unique value for each page visited. Registers a unique ID that is used to generate statistical data on how the visitor uses the website.
IDE	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
r/collect	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
test_cookie	Used to check if the user's browser supports cookies.
collect	Used to send data to Google Analytics about the visitor's device and behaviour. Tracks the visitor across devices and marketing channels.
ads/user-lists/#	These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites.
c	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
khaos	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
put_#	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpb	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpx	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
tap.php	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.

Elastic für Sicherheitsanalysten. Teil 1: Strings durchsuchen.

Zweck:

Gliederung:

Bevor Wir Loslegen:

Lucene

Begriffe: Datentypen, Zuordnungen und Analysatoren:

Wie Strings Gespeichert Werden:

Welchen Datentyp verwenden Sie?

Zusammenfassung der Unterschiede

Unterschiede

Unterschiede im Verhalten

_

Unterschied 1: Analysator, Tokenisierung & Begriffe

Unterschied

Warum…?

Beispiele

_

Unterschied 2: Groß- und Kleinschreibung

Unterschied

Warum…?

Beispiele

_

Unterschied 3: Symbolübereinstimmung

Unterschied

Warum?

Beispiele

_

Fazit

Zukünftige Beiträge

Zusätzliche Ressourcen für die Suche:

Meta:

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Verwandte Beiträge

Stärken Sie Ihre Cyber-Abwehr mitThreat Detection Marketplace

Elastic für Sicherheitsanalysten. Teil 1: Strings durchsuchen.

Zweck:

Gliederung:

Bevor Wir Loslegen:

Lucene

Begriffe: Datentypen, Zuordnungen und Analysatoren:

Wie Strings Gespeichert Werden:

Welchen Datentyp verwenden Sie?

Zusammenfassung der Unterschiede

Unterschiede

Unterschiede im Verhalten

_

Unterschied 1: Analysator, Tokenisierung & Begriffe

Unterschied

Warum…?

Beispiele

_

Unterschied 2: Groß- und Kleinschreibung

Unterschied

Warum…?

Beispiele

_

Unterschied 3: Symbolübereinstimmung

Unterschied

Warum?

Beispiele

_

Fazit

Zukünftige Beiträge

Zusätzliche Ressourcen für die Suche:

Meta:

#ez_toc_widget_sticky-2 .ez-toc-widget-sticky-container ul.ez-toc-widget-sticky-list li.active{ background-color: #ededed; } Inhaltsverzeichnis

War dieser Artikel hilfreich?

Verwandte Beiträge

Stärken Sie Ihre Cyber-Abwehr mitThreat Detection Marketplace

Inhaltsverzeichnis